"Eingeloggt bleiben" im Login Screen wieder implementieren

Naja, die amerikanischen Anbieter sollte man sich hier vielleicht nicht als Vorbild nehmen, aber zumindest Amazon hat die Checkbox weiterhin und auch bei Google hat man die Problematik erkannt, und informiert die Benutzer umfassend.

Der zukünftige Text unserer Datenschutzerklärung:

Quote

Beim ersten Aufruf unserer Website wird eine neue Sitzung gestartet, und durch ein Cookie („wcf_user_session“) deinem Browser zugeordnet; dieses temporäre Cookie wird beim Beenden deines Browsers wieder gelöscht. Wenn du dich mit deinem Benutzer anmeldest, wird das temporäre Cookie entfernt und stattdessen ein persistentes Cookie gesetzt, das erhalten bleibt, solange du angemeldet bist, und gelöscht wird, sobald du dich abmeldest. Ein weiteres temporär gesetztes Cookie („XSRF-Token“) dient dem Schutz vor gefälschten Anfragen.

Ist das technisch korrekt und zugleich leicht verständlich?

PS: Wenn die Checkbox keinen Sinn mehr ergibt, warum auch immer, könnte man dann nicht einen Hinweis einbauen, dass man sich beim letzten Mal nicht sauber abgemeldet hat, und zukünftig doch bitte dran denken sollte, so wie man es bspw. von Banken kennt?

Quote from PoooMukkel

Lässt es sich irgendwie wieder umsetzen, dass der Haken, eingeloggt zu bleiben, aktiv gesetzt werden muss, so dass man sich ansonsten beim nächsten Besuch wieder einloggen muss?

Ich denke nicht, dass WoltLab gewillt ist diese Funktion wieder einzuführen.

Davon abgesehen kann ich die Einwände von Geronimo durchaus verstehen, zumal die von WoltLab durchgeführte Neuerung einer Änderung der Datenschutzerklärung bedarf.

Quote from Alexander Ebert

Beim Login wird lediglich Server-seitig vermerkt, dass die Session-ID X nun als Benutzer Y angemeldet ist.

Das habe ich mir gerade auch noch angeschaut. Was sind denn das für IP-Adressen? Die Speicherung von IP-Adressen unserer Nutzer ist deaktiviert. Auch unser Webserver speichert sie lediglich gekürzt. Das letzte Oktett wird abgeschnitten.

Auch dies ist für mich einer von diversen Gründen, weshalb ich ein Update auf 5.4 derzeit nicht als sinnvoll erachte.

Um auf die Frage von PoooMukkel zurückzukommen. Für den normalen User fehlt plötzlich die gewohnte Einstellung "Eingeloggt bleiben", ohne dass es dazu einen entsprechenden Hinweis gibt!

Ich bin in diversen Foren tätig, doch stets wird die Option "Eingeloggt bleiben" beim Login angezeigt.

Quote from Geronimo

Das habe ich mir gerade auch noch angeschaut. Was sind denn das für IP-Adressen? Die Speicherung von IP-Adressen unserer Nutzer ist deaktiviert. Auch unser Webserver speichert sie lediglich gekürzt. Das letzte Oktett wird abgeschnitten.

Ohne genauer zu wissen: Integritätstest der Sessions, da es nicht die komplette IP sondern nur ein Teil davon ist.

Möglich. Das habe ich gleich mal überprüft. Übernimmt man die Session-ID von Rechner A mit Internetzugang A auf Rechner B mit Internetzugang B ist man dennoch sofort angemeldet. Die Session-ID ersetzt Benutzername und Passwort. Und vermutlich auch weitere Faktoren.

Klar. Finde ich durchaus nett umgesetzt. Aber wozu die seltsame IP-Adresse?

Gut, aber wo kommt sie her, die Speicherung von IP-Adressen ist deaktiviert, und wozu dient sie, denn ich habe noch nie gelesen, dass jemand diese Verarbeitung erwähnt, also entweder ist das neu oder bisher unbekannt.

Ich kann mich nur zitieren: Es ist seit Jahren so. Und bekannt.

Hm, vorhin lagst du offensichtlich falsch, weshalb ich da etwas vorsichtig wäre.

Wo lag ich falsch? Du hast dich über Cookies mit Zugangsdaten aufgeregt, nachdem sie abgeschafft worden sind nachdem sie Jahre in use waren.

Die userID- und password-Cookies gab es seit etlichen Jahren und erst jetzt mit WSC 5.4 nicht mehr in favour of user_session und XSRF-TOKEN.

Bei den Sessions werden schon die ganze Zeit IP-Adressen temporär! gespeichert, bis die Sessions serverseitig verworfen werden. Wann das passiert, wurde dir bereits erklärt. Was glaubst du denn wie die Auflistung der Sitzungen unter z.B. https://www.woltlab.com/account-security/ funktioniert?

Außerdem erinnere ich doch natürlich gerne an dein eigenes Thema: IP-Adressen werden gespeichert obwohl deaktiviert

Ich kann also relativ sicher behaupten, dass die IP-Adressen in den Sessions bereits seit laaanger Zeit (temporär) gespeichert werden.

Quote from Geronimo

Naja, die amerikanischen Anbieter sollte man sich hier vielleicht nicht als Vorbild nehmen, aber zumindest Amazon hat die Checkbox weiterhin und auch bei Google hat man die Problematik erkannt, und informiert die Benutzer umfassend.

Gut das meine willkommensbox (selber gemacht) darauf hinweist

Quote from MysteryCode

Wo lag ich falsch? Du hast dich über Cookies mit Zugangsdaten aufgeregt, nachdem sie abgeschafft worden sind nachdem sie Jahre in use waren.

Die userID- und password-Cookies gab es seit etlichen Jahren und erst jetzt mit WSC 5.4 nicht mehr in favour of user_session und XSRF-TOKEN.

Dann hast du mich leider falsch verstanden. Ich hatte darauf hingeweisen, dass wir darüber nicht informiert wurden, und entsprechend einige Zeit unsere Benutzer falsch informierten. Eine solche Änderung sollte angekündigt werden!

Quote from MysteryCode

Außerdem erinnere ich doch natürlich gerne an dein eigenes Thema: IP-Adressen werden gespeichert obwohl deaktiviert

Ich kann also relativ sicher behaupten, dass die IP-Adressen in den Sessions bereits seit laaanger Zeit (temporär) gespeichert werden.

Ja, und darüber muss man halt informieren, aber dazu muss man als Betreiber wissen, dass und wozu die IP-Adressen dort gespeichert werden, und das erfährt man normalerweise aus der Dokumentation.